ProCloud Yandex
26.06.2023
читать 7 минут

IDS / IPS — обнаружение и предотвращение сетевых вторжений

/upload/iblock/881/humk8z5g23asbxkth4dr2d4ckwfzo5mp/IPS_IDS.jpeg

Средства обнаружения атак являются, своего рода, сетевыми полицейскими. Такие системы обнаружения вторжений постоянно мониторят систему и предотвращают возможные атаки на сервер. Настоятельно рекомендуется использовать их, чтобы предотвратить «падение» Интернет ресурсов в результате действий злоумышленников.

Что такое IPS/IDS

Это расшифровывается, как intrusion prevention system и intrusion detection system. Обе системы работают вместе, так как одна из них отслеживает вторжения, а вторая отвечает за их предотвращение.

Важно. Эти системы, в отличие от современных антивирусов и файерволов обеспечивают более высокий уровень защиты серверов от несанкционированных действий третьих лиц.

Архитектура и технология IDS

Принцип работы IDS базируется на выполнении анализа трафика и обязательно требует участия администратора для дальнейшей обработки информации.

IDS система обнаружения вторжений делится по принципу действия и по месту установки. Стоит подробнее рассмотреть, чем они отличаются друг от друга.

Виды IDS по месту установки

К ним относятся защиты, которые работают на уровне хоста (требуется прописать, для какого именно хоста будет осуществляться защита) и на уровне сети в целом.

Сетевые системы обнаружения вторжения (NIDS)

Современные технологии позволяют установить NIDS в основных стратегических точках сети, чтобы анализировать входящий и исходящий трафик на постоянной основе и предотвратить нежелательные действия.

Важно. Отличительная особенность данного способа защиты заключается в глубоком просмотре данных. То есть, система проникает в каждый пакет, что позволяет обнаружить не только внешнюю, но и внутреннюю угрозу.

Единственным существенным недостатком использования этой технологии является то, что система обнаружения атак ресурсоемкая. Чем больше трафика проходит через сеть, тем больше RAM и CPU потребуется. Как результат, если не хватает ресурсов, снижается пропускная система сети, что негативно может сказаться на скорости работы. Иногда администраторы вручную увеличивают пропускную способность, но это делает сеть уязвимее.

Хостовая система обнаружения вторжений (HIDS)

В данном случае обеспечивается защита только определенного хоста. Это актуально для анализа и внутренних, и внешних пакетов. Такой подход целесообразен для определенных устройств, которые считаются наиболее важными, и конфигурация которых практически никогда не меняется.

Другие разновидности IDS по месту установки

Еще существуют следующие виды IDS:

  1. PIDS. Они находятся непосредственно на границах сети и подают сигнал, если возникает подозрительная ситуация.
  2. VMIDS. Эта система работает на основе технологии виртуализации. То есть, можно развернуть защиту не на физических серверах, а на виртуальном устройстве.

Каждый может выбрать подходящую систему, исходя из текущих потребностей бизнеса.

Виды IDS по принципу действия

Работа всех систем проводится по определенному алгоритму:

  1. Развертывание в основных стратегических пунктах.
  2. Выполнение анализа трафика.
  3. Подача сигнала о возникновении опасности.

Однако существует три разных способа анализа: сигнатурный, основанный на аномалиях, основанный на определенных правилах, которые были заданы администратором сети во время развертывания IDS. Стоит рассмотреть их подробнее.

Сигнатурные IDS

Данная IDS работает практически так же, как любой антивирус. То есть, поступающий трафик анализируется в соответствии с имеющимися базами. Ее требуется постоянно обновлять, чтобы добиться высокого уровня защиты.

Важно. Если по каким-то причинам отсутствует доступ к базе, то во время прохождения трафика не происходит анализ. То есть, сеть находится в потенциальной опасности. При использовании нового типа атаки, который не занесен в базу, трафик будет пропускаться.

Если атака пройдет успешно, то сеть будет скомпрометирована. Любое действие будет вызывать все большее заражение. Не исключено, что среда будет частично или полностью изменена.

Сигнатурная IDS работает в соответствии с шаблонами и способна обеспечить высокий уровень безопасности. Однако в ряде случаев будет бесполезной.

IDS, основанные на аномалиях

Такие IDS работают с использованием искусственного интеллекта, машина постоянно обучается. Система знает, что является обычным состоянием и пытается оценить аномалии. Для нормальной работы требуется предварительный период для анализа “стандартного” состояния.

Чаще всего в течение первых нескольких месяцев совсем отключаются сигналы тревоги для обучения IDS.

Есть 3 вида аномалий:

  • статистические – сравнение текущей ситуации с аналогичным периодом в прошлом;
  • протокола – составляются протокольные профили, поэтому при изменении порта для передачи информации система экранирования проинформирует об этом;
  • трафика – возможность анализировать входящий и исходящий трафик, чтобы предотвратить DoS и DDoS атаку.

Рекомендуется использовать все три способа защиты сети, но устанавливать их на различные ее участки.

Open Source проекты и некоторые вендоры на рынке IDS

Наиболее известным проектом считается Snort. Эту систему создали еще в 1998 году, долгое время она была независимой, однако в 2008 году ее приобрела компания CISCO. Данный продукт является оптимальным для небольших компаний, но не способен справиться с большим потоком информации.

Еще один софт – Suricata. Он был создан в 2010 году и поддерживает те же базы, что и Snort. Отличительной особенностью этой системы является тот факт, что она пишется с использованием современного кода. Legacy практически отсутствует.

McAfee Network Security. Отличная и очень мощная система. Хороший вариант для крупных корпораций. Основной ее недостаток заключается в высокой стоимости лицензии и обслуживания. Из-за больших требований к железу нередко замедляется работа сети.

Zeek (Bro) – это полностью бесплатная программа с открытым исходным кодом. Подходит опытным программистам, так как тут мало уделяется внимания web-интерфейсу. Больше делается упор на функционал.

Дальнейшее развитие IDS

Это новая эра в сетевой защите, которая пришла на смену антивирусов и брандмауэров. Таким образом, IDS будет активно развиваться и дальше. У этой системы защиты большой потенциал, который позволит сделать работу внутри сети и в Интернете безопаснее.

UTM — Unified Threat Management

Речь идет о пакете программ, которые предлагают различные виды сетевой защиты. Они бывают аппаратными или программными. Обычно в пакет входят IDS, IPS, файервол, антивирус, proxy, VPN и другие продукты.

Основной недостаток – UTM – это единственная точка защиты. Она действительно хорошо защищена, но в случае успеха злоумышленника, он получает полный доступ к сети.

Где развернуть защиту?

На самом деле, все зависит от выбранной сети. Например, NGFW можно устанавливать в любом месте сетевой инфраструктуры, но PIDS нецелесообразно устанавливать перед файерволом с внешней стороны сети. Это лучше разместить за ним с внутренней стороны. Это позволит снизить нагрузку, так как межсетевой экран будет анализировать только тот трафик, который был пропущен файерволом.

Установка IDS нужна на внешней и внутренней границе сети, то есть вокруг файервола. Это позволит защититься от создания карты внутренней сети злоумышленниками. Подобная схема существенно снизит вероятность ложного срабатывания IDS.

Также IDS можно ставить и внутри локальной сети, чтобы отслеживать подозрительную активность.

Как настроить комплексную защиту?

Очень сложно сделать выбор в пользу того или иного продукта. Для экономии средств и получения оптимального уровня защиты настоятельно рекомендуется применять комплексные продукты.

Грамотное построение системы защиты, которая будет предусматривать мониторинг внешнего и внутреннего трафика, позволит предотвратить атаки и своевременно распознать угрозы.

Новости
13 сентября 202413.09.2024
читать 2 минутычитать 2 мин
Дайджест обновлений продуктов
18 апреля 202418.04.2024
читать 2 минутычитать 2 мин
Дайджест обновлений продуктов Q1
5 апреля 202405.04.2024
читать 1 минутучитать 1 мин
ProCloud CPO Диана Беда в рейтинге ИТ-лидеров от Global CIO

Что еще советуем почитать:

Имитация сбоев: Как Хаос-Инжиниринг Повышает Надежность IT-Систем
Технологии
3 сентября 202403.09.2024
Имитация сбоев: Как Хаос-Инжиниринг Повышает Надежность IT-Систем

Узнайте, как хаос-инжиниринг помогает выявить уязвимости и улучшить производительность IT-систем. Контролируемые эксперименты с отказами снижают риски и финансовые потери, делая сервисы более устойчивыми.

читать 12 минут
Какое облако подойдет для стартапа: выбор по ключевым параметрам
Технологии
13 августа 202413.08.2024
Какое облако подойдет для стартапа: выбор по ключевым параметрам

Ключевые факторы при выборе облачного провайдера для вашего стартапа: от экономической эффективности и масштабируемости услуг до безопасности и технической поддержки. Узнайте, как ориентироваться в сложностях облачных сервисов, чтобы эффективно оптимизировать инфраструктуру своего стартапа.

читать 12 минут
Управление и настройка ВМ на базе OPNsense
Технологии
15 июня 202415.06.2024
Управление и настройка ВМ на базе OPNsense

Узнайте, как управлять и настраивать роутер через консоль, SSH и веб-интерфейс. Наше пошаговое руководство охватывает настройку интерфейсов, назначение IP-адресов, смену паролей и сброс настроек с подробными инструкциями и полезными скриншотами.

читать 20 минут